EuGH, Urt. 4.10.2024 - C-21/23
Verfolgung von Datenschutzverstößen durch Mitbewerber
Autor: RA Sebastian Trost, Fachanwalt für Gewerblichen Rechtsschutz, Fachanwalt für Urheber- und Medienrecht, LST Schuhmacher & Partner, Köln
Aus: IT-Rechtsberater, Heft 01/2025
Aus: IT-Rechtsberater, Heft 01/2025
1. Die DSGVO lässt es zu, dass eine nationale Regelung Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Weg einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.2. Daten, die Kunden bei der Bestellung von Arzneimitteln bei einer Onlineapotheke eingeben müssen (z.B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), sind Gesundheitsdaten im datenschutzrechtlichen Sinn, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
DSGVO Art. 9 Abs. 1; Datenschutz-RL Art. 8 Abs. 1; UWG §§ 3a, 8 Abs. 3 Nr. 1
Der BGH setzte das spätere Revisionsverfahren aus und legte dem EuGH im Weg des Vorabentscheidungsverfahrens zwei Fragen zur Beantwortung vor (vgl. BGH v. 12.1.2023 – I ZR 223/19, GRUR 2023, 264): Es sollte entschieden werden, ob die Vorschriften der DSGVO eine wettbewerbsrechtliche Klagebefugnis des Mitbewerbers nach nationalem Recht ausschließen und ob die vom Kunden erhobenen Bestelldaten für die apothekenpflichten Medikamente Gesundheitsdaten i.S.v. Art. 9 Abs. 1 DSGVO darstellen.
Wettbewerbsrechtliche Klagebefugnis: Die Vorschriften der DSGVO stünden nationalen Regelungen nicht entgegen, die es Mitbewerbern ermöglichten, gegen Datenschutzverletzungen ihrer Konkurrenten vorzugehen. Der Unionsgesetzgeber habe keine umfassende und abschließende Harmonisierung der Rechtsbehelfe bei Verstößen gegen die DSGVO beabsichtigt. Die Möglichkeit eines Mitbewerbers, Datenschutzverstöße als unlautere Geschäftspraktiken zu verfolgen, verbessere sogar das angestrebte hohe Schutzniveau für die Daten der betroffenen Personen. Durch die Koexistenz von datenschutzrechtlichen und wettbewerbsrechtlichen Rechtsbehelfen sei keine Gefahr für die einheitliche Durchsetzung der DSGVO zu befürchten.
Gesundheitsdaten: Die i.R.e. Onlinebestellung von apothekenpflichtigen Arzneimitteln eingegebenen Bestelldaten seien als Gesundheitsdaten i.S.v. Art. 4 Nr. 15 DSGVO einzustufen. Aus den Bestelldaten könnten Rückschlüsse auf den Gesundheitszustand des Kunden gezogen werden, da die Bestellung eine Verbindung zwischen dem Arzneimittel und dem Kunden herstelle. Eine Differenzierung zwischen verschreibungspflichtigen und verschreibungsfreien Medikamenten sei im Hinblick auf das besondere Schutzniveau von Gesundheitsdaten nicht geboten.
DSGVO Art. 9 Abs. 1; Datenschutz-RL Art. 8 Abs. 1; UWG §§ 3a, 8 Abs. 3 Nr. 1
Das Problem
Ein Apotheker verkauft rezeptfreie, aber apothekenpflichtige Arzneimittel über den Amazon-Marketplace. Im Rahmen des Bestellvorganges müssen die Kunden ihren Namen, die Lieferadresse sowie die für die Individualisierung der Arzneimittel notwendigen Informationen eingeben. Ein zweiter Apotheker beanstandete diesen Verkauf als unlauteren Wettbewerb, da Gesundheitsdaten der Kunden ohne deren Einwilligung verarbeitet werden. Er nahm den Anbieter gerichtlich auf Unterlassung in Anspruch.Der BGH setzte das spätere Revisionsverfahren aus und legte dem EuGH im Weg des Vorabentscheidungsverfahrens zwei Fragen zur Beantwortung vor (vgl. BGH v. 12.1.2023 – I ZR 223/19, GRUR 2023, 264): Es sollte entschieden werden, ob die Vorschriften der DSGVO eine wettbewerbsrechtliche Klagebefugnis des Mitbewerbers nach nationalem Recht ausschließen und ob die vom Kunden erhobenen Bestelldaten für die apothekenpflichten Medikamente Gesundheitsdaten i.S.v. Art. 9 Abs. 1 DSGVO darstellen.
Die Entscheidung des Gerichts
Der EuGH beantwortet die Fragen wie folgt:Wettbewerbsrechtliche Klagebefugnis: Die Vorschriften der DSGVO stünden nationalen Regelungen nicht entgegen, die es Mitbewerbern ermöglichten, gegen Datenschutzverletzungen ihrer Konkurrenten vorzugehen. Der Unionsgesetzgeber habe keine umfassende und abschließende Harmonisierung der Rechtsbehelfe bei Verstößen gegen die DSGVO beabsichtigt. Die Möglichkeit eines Mitbewerbers, Datenschutzverstöße als unlautere Geschäftspraktiken zu verfolgen, verbessere sogar das angestrebte hohe Schutzniveau für die Daten der betroffenen Personen. Durch die Koexistenz von datenschutzrechtlichen und wettbewerbsrechtlichen Rechtsbehelfen sei keine Gefahr für die einheitliche Durchsetzung der DSGVO zu befürchten.
Gesundheitsdaten: Die i.R.e. Onlinebestellung von apothekenpflichtigen Arzneimitteln eingegebenen Bestelldaten seien als Gesundheitsdaten i.S.v. Art. 4 Nr. 15 DSGVO einzustufen. Aus den Bestelldaten könnten Rückschlüsse auf den Gesundheitszustand des Kunden gezogen werden, da die Bestellung eine Verbindung zwischen dem Arzneimittel und dem Kunden herstelle. Eine Differenzierung zwischen verschreibungspflichtigen und verschreibungsfreien Medikamenten sei im Hinblick auf das besondere Schutzniveau von Gesundheitsdaten nicht geboten.